Was ist FiDA?
Die Financial Data Access Regulation (FiDA) ist ein Legislativvorschlag der Europäischen Kommission, der am 28. Juni 2023 als Teil des Digital Finance Package veröffentlicht wurde (Dokumentennummer: COM(2023)360 final, Codecision-Verfahren COD 2023/0205). Die Verordnung zielt darauf ab, den standardisierten, sicheren und kundengesteuerten Zugang zu Finanzdaten im gesamten europäischen Finanzsektor zu ermöglichen – und damit das Konzept von Open Banking hin zu einem umfassenden Open Finance weiterzuentwickeln.
Während PSD2 (Payment Services Directive 2) bereits den Weg für den offenen Zugang zu Zahlungskonten ebnete, geht FiDA erheblich weiter: Die Verordnung erfasst Daten aus nahezu allen Bereichen des Finanzwesens – Hypothekarkredite, Sparkonten, Kapitalanlagen, Versicherungen, Kryptowerte, Altersvorsorgeprodukte und mehr. Als EU-Verordnung wirkt FiDA direkt und unmittelbar in allen Mitgliedstaaten, ohne nationale Umsetzungsgesetze.
Der politische Kontext ist relevant: FiDA ist Teil einer breiteren europäischen Datenstrategie, die auch den EU Data Act, den Data Governance Act und sektorspezifische Datenräume (European Health Data Space, European Financial Data Space) umfasst. FiDA ist dabei die sektorspezifische Lex Specialis für den Finanzsektor.
FiDA erteilt Kunden – Privatpersonen wie Unternehmen – das Recht, ihre bei Finanzinstituten gespeicherten Daten aktiv zu steuern: weiterzugeben, abzurufen oder den Zugang zu widerrufen. Dateninhaber (Banken, Versicherungen, Investmentfirmen) können für die Bereitstellung eine angemessene Vergütung verlangen. Das Prinzip: Der Kunde bestimmt, wer seine Daten sieht – nicht das Institut.
Vier zentrale Ziele
FiDA verfolgt vier strategische Ziele, die gleichzeitig die Spannungsfelder des Vorschlags widerspiegeln:
| Ziel | Ausprägung | Betroffene Akteure |
|---|---|---|
| Datenteilung optimieren | Standardisierter Austausch über APIs, maschinenlesbare Formate, Echtzeit-Verfügbarkeit | Alle Dateninhaber |
| Kunden stärken | Permission Dashboards, einfaches Erteilen/Widerrufen von Zugriffsrechten | Finanzinstitute (Pflicht), Kunden (Recht) |
| Wettbewerb fördern | Level Playing Field für FinTechs und neue Marktteilnehmer (FISPs) | FinTechs, Plattformanbieter, Incumbents |
| Sicherheit stärken | Robuste technische Standards, Autorisierungspflichten, DSGVO-Konformität | Alle Teilnehmer im FDSS |
Akteure & Rollen im FiDA-Ökosystem
FiDA definiert eine klare Rollenstruktur, die alle Beteiligten im Open Finance-Ökosystem erfasst:
Dateninhaber (Data Holders)
Institutionen, die Finanzdaten von Kunden verwahren: Banken, Kreditinstitute, Versicherungen, Investmentfirmen, Kryptowerte-Anbieter, Pensionsfonds, Wertpapierverwahrer und Hypothekenverwalter. Sie sind verpflichtet, auf Kundenwunsch Daten unverzüglich, kontinuierlich und in Echtzeit über standardisierte Schnittstellen bereitzustellen.
Datennutzer (Data Users)
Lizenzierte Akteure, die Zugang zu Kundendaten erhalten dürfen – sofern der Kunde zustimmt. Dies umfasst bestehende regulierte Finanzinstitute, aber auch eine neue Kategorie: die FISPs.
Financial Information Service Providers (FISPs)
Eine durch FiDA neu geschaffene Lizenzklasse. FISPs sind Dienstleister, die Kunden aggregierte Übersichten ihrer Finanzdaten über mehrere Anbieter und Sektoren hinweg anbieten – vergleichbar mit Kontoinformationsdiensten (AIS) unter PSD2, aber mit erheblich größerem Datenzugriff. FISPs müssen vor Tätigkeitsaufnahme von der nationalen Aufsichtsbehörde (in Deutschland: BaFin) zugelassen werden.
Sowohl EU-Parlament als auch Rat haben strenge Trennungsregeln für Unternehmen vorgeschlagen, die als Gatekeeper nach dem Digital Markets Act (DMA) eingestuft sind. Ziel: Verhindern, dass US-amerikanische Technologiekonzerne (Apple, Google, Amazon, Meta) ihre Marktdominanz durch FiDA-Datenzugang weiter ausbauen. Dies ist einer der zentralen Streitpunkte im laufenden Trilog – mit geopolitischen Implikationen, da US-Handelspartner bereits Bedenken geäußert haben.
Datenkategorien – Was fällt unter FiDA?
Der Anwendungsbereich von FiDA ist erheblich breiter als der von PSD2. Erfasst werden Daten zu nahezu allen Finanzprodukten – mit Ausnahme von Kranken- und Lebensversicherungen, die aus Datenschutzgründen explizit ausgenommen sind:
| Kategorie | Beispiele | Phase |
|---|---|---|
| Verbraucherkredite | Ratenkredite, Dispo | Phase 1 – 24 Mo. |
| Sparkonten | Tagesgeld, Festgeld | Phase 1 – 24 Mo. |
| Kfz-Versicherung | Haftpflicht, Kasko | Phase 1 – 24 Mo. |
| Hypothekarkredite | Wohnimmobilienkredite | Phase 2 – 36 Mo. |
| Kapitalanlagen | Aktien, Fonds, ETFs | Phase 2 – 36 Mo. |
| Kryptowerte | Krypto-Portfolios | Phase 2 – 36 Mo. |
| Private Altersvorsorge | Riester, bAV | Phase 2 – 36 Mo. |
| Bonitätsdaten | Kreditanträge | Phase 3 – 48 Mo. |
| Sachversicherung | Hausrat, Haftpflicht | Phase 3 – 48 Mo. |
| Kranken-/Lebensversicherung | – | Ausgenommen |
Financial Data Sharing Schemes (FDSS)
Das Herzstück der operativen FiDA-Architektur sind die sogenannten Financial Data Sharing Schemes (FDSS). Diese branchengetragenen Governance-Strukturen definieren die technischen und vertraglichen Rahmenbedingungen für den Datenaustausch.
Jedes FDSS legt fest:
- Technische Standards: API-Spezifikationen (OpenAPI-basiert), Autorisierungsmechanismen (z.B. OAuth2), Datenformate (JSON, XML)
- Sicherheitsanforderungen: Authentifizierung, Verschlüsselung, Monitoring, Logging
- Governance-Regeln: Teilnahmevoraussetzungen, Streitbeilegung, Haftungsverteilung
- Vergütungsrahmen: Bedingungen und Höhe der Entlohnung von Dateninhabern durch Datennutzer
Sowohl Dateninhaber als auch Datennutzer sind verpflichtet, mindestens einem FDSS beizutreten – bei Phase-1-Daten innerhalb von 18 Monaten nach Inkrafttreten, bei Phase-2-Daten innerhalb von 30 Monaten und bei Phase-3-Daten innerhalb von 42 Monaten. Die Mitgliedschaft ist offen; eine gleichzeitige Teilnahme an mehreren Schemes ist erlaubt.
Die Wirksamkeit von FiDA hängt maßgeblich davon ab, ob FDSS rechtzeitig und interoperabel entwickelt werden. Wenn Standardisierungsprozesse zu langsam oder zu heterogen verlaufen, entsteht trotz Rechtsrahmen kein funktionierender Markt. Erfahrungen aus PSD2 zeigen, dass dieser Prozess erheblich mehr Zeit benötigt als geplant. Aus Sicht von Deloitte (2026) ist dies derzeit das größte operationelle Risiko für die fristgerechte Umsetzung.
Technische Kernanforderungen
FiDA stellt konkrete technische Anforderungen, die für Dateninhaber erheblichen Investitionsbedarf bedeuten:
- Permission Dashboards (Art. 8 FiDA-E): Dateninhaber müssen Kunden ein digitales Dashboard bereitstellen, über das diese alle erteilten Datenzugriffsberechtigungen in Echtzeit einsehen und verwalten können – inklusive Granularität (welche Daten, welcher Zeitraum, welcher Empfänger).
- Standardisierte APIs: Daten müssen unverzüglich, kontinuierlich und in Echtzeit über normierte Schnittstellen bereitgestellt werden – nicht nur auf Anfrage, sondern im Push-Verfahren.
- ISO 20022-Interoperabilität: Die Nutzung branchenweiter Standards (ISO 20022) gilt als Referenzmodell für Datenformate.
- DORA-Konformität: Die technischen Anforderungen an Betrieb und Resilienz der APIs müssen mit dem Digital Operational Resilience Act (DORA) abgestimmt werden – insbesondere hinsichtlich IKT-Drittparteimanagement bei FDSS-Betreibern.
- Sanktionsrahmen: Verstöße gegen FiDA können mit Bußgeldern von bis zu 2% des weltweiten Jahresumsatzes, öffentlicher Bekanntmachung oder Entzug der Zulassung geahndet werden.
Regulatorische Einbettung
| Rechtsakt | Berührungspunkt |
|---|---|
| DSGVO | Einwilligungsmanagement, Datenschutz-Folgenabschätzungen |
| PSD2/PSD3 | FiDA erweitert Open-Banking-Rahmen |
| DORA | Resilienzanforderungen für APIs |
| DMA | BigTech-Gatekeeper-Einschränkungen |
| MiCA | Kryptowerte ab Phase 2 |
| EU AI Act | KI-basierte FISPs (Robo-Advisor) |
Aktueller Legislativstand (April 2026)
FiDA befindet sich seit April 2025 in den Trilog-Verhandlungen zwischen EU-Parlament, Rat und Kommission. Die letzte bekannte Trilog-Sitzung fand im Juni 2025 statt. Für H1 2026 wird mit einem Abschluss gerechnet. Im Arbeitsprogramm der Kommission für 2026 wird FiDA weiterhin als „anhängiger Vorschlag" (Annex III, Punkt 41) geführt.
Positionen der Institutionen
EU-Kommission (Originalvorschlag, Juni 2023): Breiter Anwendungsbereich, ambitionierte Übergangsfristen (18/24 Monate), offener Zugang auch für neue Marktakteure. Im Mai 2025 legte die Kommission ein Non-Paper mit Vereinfachungsvorschlägen vor – u.a. Kostenreduzierung und Straffung der FDSS-Governance.
EU-Parlament (Position vom 30. April 2024): Grundsätzliche Unterstützung, aber verstärkte Datenschutzsicherungen; strenge Trennung von Gatekeeper-konzernierten Datennutzern. Der ECON-Ausschuss soll zunehmend skeptisch geworden sein – insbesondere angesichts kritischer Rückmeldungen der datenführenden Finanzinstitute.
EU-Rat (Position vom 2. Dezember 2024): Weitgehende Unterstützung des Kommissionsvorschlags, gradueller Implementierungsansatz. Verlängerung der Übergangsfristen auf 36–48 Monate für verschiedene Datenkategorien.
Maria Luis Albuquerque, die zuständige EU-Kommissarin, bekräftigte auf einer FinTech-Konferenz öffentlich ihre politische Unterstützung für FiDA. Sie verwies auf die Vereinfachungsvorschläge der Kommission aus 2025, kündigte aber keine zusätzlichen Ansätze an.
Offene Streitpunkte im Trilog
- Anwendungsbereich: Welche Datenkategorien sind wirklich enthalten? Soll der Scope enger gefasst werden?
- BigTech-Zugang: Ausschluss oder Einschränkung von DMA-Gatekeepern? Geopolitische Implikationen durch US-Handelspartner-Reaktionen.
- Vergütungsmodell: Wie wird der Gegenwert für Dateninhaber bemessen? Wer setzt die Preise? Streitigkeiten über Preismodelle könnten die Marktakzeptanz erheblich bremsen.
- FDSS-Governance: Mindestanforderungen vs. Branchenfreiheit; Fallback-Lösungen bei fehlenden Schemes.
- Übergangsfristen: Parlament und Rat wollen 36–48 Monate (statt 18/24 im Originalvorschlag).
- Datenschutz: EDPB und EDPS haben im Kontext des Digital Omnibus erhebliche Datenschutzbedenken geäußert, die indirekt auch FiDA betreffen.
Herausforderungen für Finanzinstitute
Legacy-Systeme und technische Komplexität
Die größte operative Herausforderung liegt in der IT-Modernisierung. Insbesondere Banken und Versicherungen mit gewachsener IT-Architektur müssen erhebliche Investitionen tätigen, um standardisierte, Echtzeit-fähige APIs bereitzustellen. Fragmentierte Systemlandschaften, unklare Standards und die parallele Belastung durch DORA-Umsetzung erhöhen die Delivery-Risiken.
Regulatorische Unsicherheit als Investitionsbremse
Die anhaltenden Trilog-Verhandlungen erzeugen erhebliche Planungsunsicherheit. Viele Finanzinstitute halten Entscheidungen und Investitionen zurück, solange der finale Text nicht bekannt ist. Dies schafft ein Paradox: Je länger die Unsicherheit anhält, desto geringer ist der verbleibende Implementierungszeitraum.
Governance der FDSS
Die Entwicklung funktionstüchtiger FDSS setzt voraus, dass konkurrierende Marktteilnehmer (Dateninhaber) verbindliche gemeinsame Standards vereinbaren. Marktmacht-Asymmetrien (Großbanken vs. FinTechs) können die Scheme-Entwicklung zusätzlich verlangsamen.
Risiko Marktbereinigung
Kleinere Finanzdienstleister stehen vor der Gefahr, die umfangreichen technischen und regulatorischen Anforderungen nicht bewältigen zu können. Gleichzeitig könnten sie durch den Datenzugang zum Übernahme-Ziel größerer Akteure werden. FiDA könnte zu einer Marktkonsolidierung im Finanzsektor führen.
Chancen & strategische Use Cases
Für Banken und Versicherungen
- Cross-Selling über Institutsgrenzen: Banken können mit Einwilligung des Kunden auf Versicherungs- oder Investmentdaten zugreifen und maßgeschneiderte Angebote erstellen.
- Verbesserte Kreditprüfung: Vollständigere Datengrundlage durch Zugriff auf Daten bei anderen Instituten ermöglicht präzisere Kreditscoring-Modelle.
- Operational Efficiency: Automatisierter Datenaustausch reduziert manuelle Prozesse, z.B. bei Kontowechsel oder Kreditantrag.
Für FISPs und FinTechs
- Financial Management Apps: 360°-Sicht auf alle Finanzprodukte eines Kunden über alle Anbieter hinweg.
- Personalisierte Beratung: KI-gestützte Finanzplanung, Budgetierung und Anlageberatung auf Basis vollständiger Finanzdaten.
- Vergleichsportale: Automatisierter Produktvergleich auf Basis Echtzeit-Kundendaten (z.B. Versicherungsvergleich mit aktuellen Vertragsdaten).
- Robo-Advisory: Automatisierte Portfoliooptimierung unter Einbeziehung aller Vermögenswerte – inklusive Immobilien, Altersvorsorge und Kryptowerte.
Implementierungsphasen
- Verbraucherkredite
- Sparkonten
- Kfz-Versicherung
- Hypothekarkredite
- Kapitalanlagen
- Kryptowerte
- Altersvorsorge
- Bonitätsdaten
- Sachversicherungen
- Versicherungsanlageprodukte
Handlungsempfehlungen für Finanzinstitute
Auch wenn der finale Verordnungstext noch aussteht, lassen sich auf Basis der konsolidierten Positionen von Parlament und Rat bereits belastbare Vorbereitungsmaßnahmen ableiten:
- Gap-Analyse jetzt starten: Bestandsaufnahme der vorhandenen API-Fähigkeiten, Datenverfügbarkeit und Permission-Management-Systeme gegenüber den FiDA-Anforderungen. Wo stehen wir heute, und was muss bis Phase 1 fertig sein?
- Strategische Rolle festlegen: Soll das Institut primär als Dateninhaber, Datennutzer oder beides agieren? Diese Entscheidung beeinflusst Investitionsplanung und Partnerstrategie fundamental.
- FDSS-Beteiligung vorbereiten: Frühzeitige Beteiligung an brancheninternen Standardisierungsgremien sichert Einfluss auf Governance-Regeln und verhindert, dass man sich späteren Standards unterwerfen muss, die man nicht mitgestaltet hat.
- DORA-Synergien nutzen: API-Resilienz-Anforderungen aus DORA und FiDA können gemeinsam adressiert werden – vermeidet doppelten Investitionsaufwand und schafft ein konsistentes technisches Framework.
- Regulatorisches Monitoring: Trilog-Ergebnisse und den finalen Verordnungstext genau verfolgen; Compliance-Planung modular aufbauen, um Anpassungen bei Scope-Änderungen zu ermöglichen.
- Geschäftsmodell-Innovationen identifizieren: Nicht nur auf Compliance fokussieren – FiDA als Enabler neuer Produkte und Dienstleistungen begreifen. Wer nur pflichtgemäß implementiert, verschenkt das strategische Potenzial.